Connettersi a Oracle Cloud Infrastructure GoldenGate utilizzando un IP privato

Utilizzare il bastion OCI per accedere in modo sicuro alla console di distribuzione OCI GoldenGate.

Panoramica

OCI GoldenGate è accessibile solo utilizzando un endpoint privato dall'interno della rete OCI o tramite un bastion host che protegge l'accesso alle risorse OCI. Sebbene questo esempio di avvio rapido utilizzi OCI Bastion, è possibile utilizzare il proprio bastion. Questo Quickstart include entrambe le opzioni, in modo da poter scegliere quella che funziona meglio per te.

Segue la descrizione di qs-bastion.png
Descrizione dell'illustrazione qs-bastion.png

Prima di iniziare

Per procedere è necessario disporre dei seguenti elementi:

  • Una prova gratuita o un account Oracle Cloud Infrastructure a pagamento
  • Accesso a OCI GoldenGate
  • Distribuzione OCI GoldenGate in una subnet privata e senza endpoint pubblico
  • Per OCI Bastion:
    • Accesso al servizio
    • Accesso a OCI Bastion o al bastion personale su OCI Compute
  • Per il tuo bastion su OCI Compute:
    • Accesso a OCI Compute
    • Subnet pubbliche e private configurate in ogni dominio di disponibilità

      Nota

      Oracle consiglia di creare una subnet pubblica separata esclusivamente per gli host bastion per garantire che la lista di sicurezza appropriata sia assegnata all'host corretto.

Opzione A: Usa bastion OCI

È possibile utilizzare OCI Bastion o il proprio. In questo esempio viene utilizzato OCI Bastion.

Nota

Per US Government Cloud con autorizzazione FedRAMP, è necessario utilizzare l'opzione B. Il servizio OCI Bastion non è attualmente disponibile in queste aree.
  1. Creare un bastion. Assicurarsi di effettuare le operazioni seguenti:
    1. Utilizzare la stessa VCN della distribuzione e della subnet OCI GoldenGate di destinazione.

      Nota

      La subnet può essere uguale alla distribuzione GoldenGate OCI o a quella che ha accesso alla subnet GoldenGate OCI.
    2. Includere gli indirizzi IP dei computer utilizzati per connettersi al bastion OCI nella lista di inclusione blocchi CIDR.
  2. Creare una sessione di inoltro porta SSH.
    1. Per Indirizzo IP, immettere l'IP privato della distribuzione GoldenGate OCI. È possibile trovare l'IP privato nella pagina Dettagli della distribuzione.
    2. Per Porta, immettere 443.
    3. In Aggiungi chiave SSH, fornire il file di chiave pubblica della coppia di chiavi SSH da utilizzare per la sessione.
  3. Dopo aver creato la sessione, nel menu Azioni (tre punti) della sessione selezionare Copia comando SSH.
  4. Incollare il comando in un editor di testo, quindi sostituire i segnaposto <privateKey> e <localPort> con il percorso della chiave privata e della porta 443.
  5. Eseguire il comando utilizzando l'interfaccia della riga di comando per creare il tunnel.
  6. Aprire un browser Web e andare a https://localhost.

Nota

  • Assicurarsi di aggiungere una regola di entrata per l'host bastion nella lista di sicurezza della subnet privata. Ulteriori informazioni.
  • Se viene visualizzato il seguente messaggio di errore,
    {"error":"invalid_redirect_uri","error_description":"Client xxdeploymentgoldengateusphoenix1ocioraclecloudcom_APPID requested an invalid redirect URL: https://localhost/services/adminsrvr/v2/authorization. ECID: cvSDu0r7B20000000"}

    quindi è necessario aggiungere una voce nel file host del computer client per mappare 127.0.0.1 al nome FQDN di distribuzione. Ad esempio:

    127.0.0.1 xx.deployment.goldengate.us-phoenix-1.oci.oraclecloud.com

Opzione B: utilizza il tuo bastion su OCI Compute

  1. Crea un'istanza di computazione nella subnet pubblica della stessa VCN della distribuzione GoldenGate OCI.

    Nota

    In questo esempio, il CIDR della subnet pubblica è 10.0.0.0/24. Lo stesso valore CIDR verrà utilizzato quando si aggiunge una regola di entrata alla lista di sicurezza della subnet privata.
  2. Controllare la lista di sicurezza predefinita per la subnet pubblica:
    1. Dal menu di navigazione della console di Oracle Cloud, selezionare Networking, quindi Reti cloud virtuali.
    2. Dalla lista di reti cloud virtuali, selezionare la VCN per visualizzarne i dettagli.
    3. Nella pagina dei dettagli della VCN, fare clic su Sicurezza, quindi selezionare la lista di sicurezza predefinita per <la subnet pubblica>.
    4. Nella pagina Dettagli lista di sicurezza predefinita, fare clic su Regole di sicurezza. Questo elenco di sicurezza deve includere una regola per l'accesso SSH:
      Senza conservazione dello stato Origine Protocollo IP Intervallo porte di origine Intervallo di porte di destinazione Tipo e codice Consente
      N. 0.0.0.0/0 TCP Tutti 22 ND Traffico TCP per le porte: 22 Protocollo di login remoto SSH

      Se la lista di sicurezza non include questa regola, fare clic su Aggiungi regole di entrata e completare il form utilizzando i valori sopra riportati.

  3. Aggiungere una regola di entrata alla lista di sicurezza della subnet privata per consentire la connettività a OCI GoldenGate dalla subnet pubblica.
    1. Nella pagina dei dettagli della VCN fare clic su Sicurezza, quindi selezionare l'elenco di sicurezza per la subnet privata per visualizzarne i dettagli.
    2. Nella pagina Dettagli lista di sicurezza per subnet privata fare clic su Regole di sicurezza. Fare clic su Aggiungi regole di entrata.
    3. Nella pagina Aggiungi regole di entrata, completare i campi come indicato di seguito, quindi fare clic su Aggiungi regole di entrata.
      1. Per Tipo di origine, selezionare CIDR.
      2. Per CIDR origine, immettere il valore CIDR della subnet pubblica (10.0.0.0/24).
      3. Per Protocollo IP, selezionare TCP.
      4. Per Intervallo porte destinazione, immettere 443.
  4. (Utenti Windows) Creare una sessione per connettersi all'host bastion utilizzando PuTTY:
    1. Nella schermata di configurazione della sessione PuTTY immettere l'IP pubblico dell'istanza di computazione per Nome host. È possibile inserire 22 come valore per Porta.
    2. Nella categoria Connessione espandere SSH, fare clic su Autorizzazione, quindi fare clic su Sfoglia per individuare il privato utilizzato per creare l'istanza di computazione.
    3. Fare clic su Tunnel nel pannello Categoria, immettere 443 per la porta di origine e <deployment-hostname>:443 per la destinazione.
    4. (Facoltativo) Tornare alla categoria Sessione e salvare i dettagli della sessione.
    5. Fare clic su Apri per connettersi.
  5. (Utenti Linux) Creare una sessione per connettersi all'host bastion utilizzando la riga di comando:
    ssh -i <private-ssh-key> opc@<compute-public-ip> -L 443:<deployment-hostname>:443 -N
  6. Una volta stabilita la connessione, aprire una finestra del browser e immettere https://localhost nella barra degli indirizzi. Viene visualizzata la console di distribuzione OCI GoldenGate.

Problemi noti

Errore URL di reindirizzamento non valido durante il tentativo di accedere a una distribuzione abilitata per IAM mediante un IP

Quando si tenta di accedere a una distribuzione abilitata per IAM utilizzando l'indirizzo IP della distribuzione, si verifica il seguente errore:

{"error":"invalid_redirect_uri","error_description":"Client
        xxxxxxxx1ocioraclecloudcom_APPID requested an invalid redirect URL: https://192.x.x.x/services/adminsrvr/v2/authorization. ECID:
        xxxx"}

Soluzione: è possibile effettuare una delle operazioni seguenti:

Opzione 1: aggiungere l'indirizzo IP di distribuzione all'applicazione del dominio di Identity. Per apportare questa modifica, è necessario far parte del gruppo di utenti assegnato all'applicazione.

  1. Nel menu di navigazione di Oracle Cloud selezionare Identità e sicurezza, quindi in Identità fare clic su Domini.
  2. Selezionare il dominio dall'elenco Domini.
  3. Dal menu delle risorse del dominio di Identity, selezionare Oracle Cloud Services.
  4. Selezionare l'applicazione dall'elenco Oracle Cloud Services. Ad esempio, Applicazione GGS INFRA per ID distribuzione:<deployment OCID>.
  5. Nella pagina dell'applicazione nella configurazione OAuth, fare clic su Modifica configurazione OAuth.
  6. Per URL di reindirizzamento, immettere l'URL della console della distribuzione con l'IP della distribuzione al posto del dominio. Ad esempio: https://<deployment-ip>/services/adminsrvr/v2/authorization.
  7. Salvare le modifiche.
Opzione 2: aggiungere una voce nel file host del computer client per mappare 127.0.0.1 al nome FQDN di distribuzione (sostituire <region> con l'area appropriata). Ad esempio:
127.0.0.1 xx.deployment.goldengate.<region>.oci.oraclecloud.com